Ingeniería social, seguridad y auditorías

Ojo integrado

Cada día más, la seguridad de nuestros datos en la Red ocupa más conversaciones. Y no hablamos ya del negocio que se monta a su alrededor, sino del hecho de que información cuyo uso hemos consentido a una cierta persona o empresa acaba en manos de personas no deseadas. Vamos, que roban nuestros datos por una causa u otra y a partir de ahí vienen los problemas.

De forma muy básica, hay dos formas de que un sistema llegue a ser comprometido:

  1. Un atacante busca una vulnerabilidad no parcheada en el software y la explota sin que medie nadie/nada más.
  2. Un atacante aprovecha un descuido del usuario, que permite al atacante acceso al interior del sistema.

Contra el primer tipo de riesgo lo único que podemos hacer es mantener nuestros sistemas lo más actualizados posible, corrigiendo todos los fallos de seguridad de los que tengamos conocimiento mediante la aplicación de los parches correspondientes. Evidentemente, esto no impide el descubrimiento y explotación maliciosa de fallos que a día de hoy sean desconocidos, pero es todo lo que podemos hacer.

Contra el segundo tipo de riesgo hemos avisado muchas más veces, porque entra directamente dentro de lo que conocemos como ingeniería social y, por tanto, podemos mejorar mucho nuestra seguridad con tan sólo la adquisición de una serie de hábitos sencillos. Comienza con escoger una buena contraseña que sea segura y no compartirla con nadie (y, por supuesto, nunca a cambio de baratijas sin valor). Cuantas menos veces repitamos la misma contraseña, mejor.

Pero va más allá. Cuando hablamos de seguridad el principal problema es que las personas no están suficientemente entrenadas para trabajar con seguridad. Nos llegó la informática, nos llegó Internet, pero no se sistematizó la formación de las personas en estos ámbitos. Tremendo error.

En estas que llego a un vídeo en la web de Deloitte. Como no puedo embeberlo, les recomiendo que lo abran en una pestaña nueva antes de terminar de leer este post.

Vaya por delante que el vídeo tiene un tono peliculero y una dosis de fear mongering. Sin embargo, me llama la atención precisamente que la hecatombe que describen comienza por una imprudencia, el clásico ejemplo de pinchar en tu ordenador el primer USB que te cruzas en el camino. Entiendo que Deloitte pretende llamar la atención sobre la importancia de una buena auditoría forense cuando se detecta que ha habido algún problemas, motivo por el cual Sergio Hernando compartió el vídeo y otros muchos profesionales del ramo (como Miguel Almeida) lo disfrutarán.

La auditoría tiene un gran punto a favor: nos obliga a evaluar riesgos, a comparar (y evaluar la suma de) los costes de «construir una muralla», las pérdidas en caso de que suframos un ataque exitoso y el de subsanar el problema y reponer lo perdido (encontrando al responsable, si se puede) mediante una auditoría. Algo que en un sistema análogo (las medidas de seguridad post-11-S) y mucho más extendido hemos resuelto socialmente muy mal (con desperdicio de recursos y recorte de libertades).

No dejo de pensar que en esa ecuación el coste de formar a las personas en unos hábitos saludables desde el punto de vista de la seguridad representa seguramente la partida más rentable, por cuanto el coste es reducido y los beneficios potenciales (vía eliminación de descuidos futuros) de empoderar a las personas son siempre asombrosos.

Doctor en Química laser especializado en desarrollo de hardware para análisis. Consultor y Project Manager. Autor de los libros publicados La sociedad de control y La neutralidad de la Red.

One Comment

Submit a comment